技術領域

本發明屬于信息安全技術領域，是一種面向共享文件的文件加密系統，特別是一種適合通過云存儲或傳輸復制在多人之間共享使用文件的文件加密系統。

背景技術

文件云存儲給用戶帶來了極大的方便，受到了廣大用戶的廣泛歡迎。現在不但個人用戶在使用文件云存儲系統，而且越來越多的企業、機構特別是中小企業、機構也在使用文件云存儲系統，包括公共云存儲服務系統。

目前許多的文件云存儲系統都提供有文件共享功能，即一個用戶在將一個文件上傳到文件云存儲系統的云端系統的同時指定能使用文件的特定用戶，包括指定特定的個人用戶或用戶群。目前的文件云存儲系統大多是通過訪問控制機制來實現文件的安全共享。這種技術方案的缺點是：若共享文件是涉及個人隱私或涉及企業秘密的文件，那么云存儲系統的運行維護者（運維者）是能夠看到共享文件的內容的，或者出現由于遭受黑客攻擊而導致私密信息泄露的情況，這些卻是用戶不愿意看到的。解決這一安全問題的最好解決方案是在用戶將文件上傳到云存儲系統的云端系統前先對文件加密，并保證只有被許可的用戶才能解密被加密的文件（加密文件）。但這種方案也存在一個問題，如何在被許可使用加密文件的用戶包括個人用戶和群體用戶之間分發、共享加密文件的加密密鑰？顯然，在被許可的用戶之間直接共享文件的加密密鑰的技術方案是不可取的，因為這不但麻煩，而且不安全，因此，需要采用一種更適合的方案，這種方案不但能夠使得一個企業、機構內指定的個人和群體用戶（包括指定的個人，或屬于某個群組或擁有特定角色的群體用戶）能夠使用共享文件，且這種技術方案的實施能盡可能地不依賴于云存儲系統的運維者及其系統。

除了通過云存儲系統進行文件共享外，人們在日常工作中也常常通過網絡傳輸（如電子郵件）或文件復制在用戶之間包括個人和用戶群之間共享使用文件。同樣地，如果這些文件涉及私密或秘密信息，也需要采用安全保護措施來保證文件在共享使用過程中是安全的，只有被授權、被許可的用戶才能使用，若采用文件加密的技術方案，這同樣涉及文件的加密密鑰在共享用戶之間進行分發和共享的問題。

針對網絡文件存儲系統包括云存儲系統中的共享文件的安全加密問題，本發明申請人在其專利申請“一種安全文件共享系統”（專利申請號：201310556143.6）和專利申請“一種基于用戶模式文件系統的安全網絡文件系統”（專利申請號：201410104937.3）中分別提出了解決方案。專利申請201310556143.6中的技術方案是：解密一個加密文件的訪問控制策略由上傳文件的用戶在用戶端自主設置的訪問控制策略同文件共享服務器針對上傳文件的訪問控制策略共同組成；解密一個加密文件的所有訪問控制策略（包括用戶自主設置的和文件共享服務器設置的訪問控制策略）同加密該文件的隨機對稱密鑰一起被一個文件共享加密公鑰（公共加密公鑰）加密后形成加密文件的密鑰數據，所形成的密鑰數據同加密文件一起保存在文件共享服務器上。當一個用戶需要解密從文件共享服務器下載的加密文件時，需要將包含文件訪問控制策略和隨機對稱密鑰的密鑰數據提交到一個共享文件解密服務器，由共享文件解密服務器利用文件共享公鑰所對應的私鑰對文件的密鑰數據進行解密，獲得文件的訪問控制策略和隨機對稱密鑰，并根據文件訪問控制策略以及從一個身份管理系統獲取的用戶身份信息確定當前用戶是否被允許解密加密文件，若允許，則將解密獲得用于對文件進行加密的隨機對稱密鑰返回給用戶用于解密加密文件。專利申請201310556143.6中的技術方案的局限性在于，所有的文件解密操作處理需經過共享文件解密服務器才能完成。

專利申請201410104937.3中的技術方案在專利申請201310556143.6的技術方案的基礎上增加了針對文件的個人共享用戶的解密策略（即個人解密策略，相應地，還有針對群體用戶的群體解密策略）；個人解密策略所針對的個人可自主解密被加密的文件，無需通過一個專門的解密服務器；專利申請201410104937.3中的技術方案還引入了用戶模式文件系統技術，以方便用戶對共享文件的操作使用。但專利申請201410104937.3中的技術方案存在的一個不足是加密文件所使用的用于對群體解密策略及文件的隨機對稱密鑰進行加密的策略加密公鑰（公共加密公鑰）的更新操作必須通過一個解密服務器才能完成，不能在用戶端完成，這許多情況下是不方便的、不好的，比如，不能離線更新、效率較低。

發明內容